Современные SSD с поддержкой Self-Encrypting Drives (SED) и стандарта eDrive позволяют использовать аппаратное шифрование для BitLocker в Windows 10/11, разгружая процессор, снижая энергопотребление и повышая безопасность. В этой статье мы разберем, как включить аппаратное шифрование BitLocker на совместимом SED SSD (на примере Samsung SSD 850 Pro), какие требования должны быть выполнены и как устранить типичные проблемы.
Преимущества аппаратного шифрования BitLocker
— Производительность: аппаратное шифрование на контроллере SED увеличивает производительность системы на 15–29% по сравнению с программным шифрованием.
— Энергоэффективность: снижает нагрузку на процессор, продлевая время работы от батареи.
— Безопасность: ключ шифрования хранится в контроллере диска, а не в оперативной памяти, что снижает риск атак.
— Прозрачность: шифрование и расшифровка данных происходят на уровне контроллера без вмешательства пользователя.
Требования для аппаратного шифрования BitLocker
Система и загрузка
— TPM: версии 1.2 или 2.0 с сертифицированным драйвером Microsoft.
— UEFI: версия 2.3.1 с поддержкой EFI_STORAGE_SECURITY_COMMAND_PROTOCOL.
— Режим загрузки: нативный UEFI (режим совместимости CSM отключен).
— Редакция Windows: минимум Windows 8/10 Pro или Enterprise.
SED SSD
— Поддержка стандарта eDrive (основан на TCG OPAL и IEEE 1667).
— Диск не инициализирован.
— Аппаратное шифрование отключено (по умолчанию).
Настройка аппаратного шифрования BitLocker
Пример настройки выполнен на Samsung SSD 850 Pro с использованием утилиты Samsung Magician. Убедитесь, что ваша система и диск соответствуют требованиям.
Шаг 1: Проверка и обновление драйвера Intel RST
Старые версии Intel Rapid Storage Technology (RST) не поддерживают аппаратное шифрование BitLocker. Требуется версия 13.2 или новее.
1. Проверьте текущую версию RST:
— Откройте Диспетчер устройств (devmgmt.msc).
— Найдите Контроллеры IDE ATA/ATAPI или Контроллеры запоминающих устройств.
— Проверьте версию драйвера (например, 12.8.10.1005).
2. Если версия ниже 13.2, скачайте и установите новую с сайта Intel: Intel Download Center.
— Установите RST версии 13.2.4.1000 или новее.
3. Перезагрузите компьютер.
Примечание: Без обновления RST при попытке включить аппаратное шифрование могут возникнуть ошибки:
— В Samsung Magician: Failed to perform the operation on the selected disk.
— В PowerShell при выполнении:
Enable-BitLocker -MountPoint D: -TPMProtector -HardwareEncryption
Ошибка: The drive specified does not support hardware-based encryption (0x803100B2).
Шаг 2: Подготовка SSD
Перед включением аппаратного шифрования диск должен быть очищен.
1. Откройте diskpart:
diskpart
2. Выполните команды:
list disk
select disk 1
clean
Внимание: Убедитесь, что выбрали правильный диск (в примере disk 1 — Samsung SSD 850 Pro). Команда clean удалит все данные!
3. Закройте diskpart.
Шаг 3: Включение аппаратного шифрования в Samsung Magician
1. Запустите Samsung Magician (скачайте с сайта Samsung, если не установлена).
2. Перейдите в раздел Data Security.
3. Найдите опцию для включения аппаратного шифрования и выберите Ready to Enable.
4. Перезагрузите компьютер.
5. После перезагрузки в Samsung Magician убедитесь, что шифрование активировано.
Шаг 4: Инициализация и форматирование диска
1. Откройте Управление дисками:
diskmgmt.msc
2. Найдите неинициализированный SSD.
3. Щелкните правой кнопкой мыши и выберите Инициализировать диск (выберите GPT для UEFI).
4. Создайте раздел и отформатируйте его в NTFS.
Шаг 5: Активация BitLocker
1. Откройте Панель управления -> Система и безопасность -> Шифрование диска BitLocker.
2. Для нужного диска (например, D:) выберите Включить BitLocker.
3. В мастере настройки выберите Encrypt entire drive (шифровать весь диск).
Важно: Выбор Encrypt used space only приведет к программному шифрованию.
4. Настройте защиту (TPM, пароль или смарт-карта) и сохраните ключ восстановления.
5. Дождитесь завершения шифрования.
Шаг 6: Проверка аппаратного шифрования
1. Откройте PowerShell или Командную строку с правами администратора.
2. Выполните:
manage-bde -status D:
3. Проверьте строку Encryption Method. Если указано Hardware Encryption (например, Hardware Encryption — 1.3.111.2.1619.0.1.2), аппаратное шифрование активно.
Использование SED SSD как загрузочного диска
После настройки BitLocker с аппаратным шифрованием диск можно использовать как загрузочный:
1. Установите Windows на SED SSD.
2. Включите BitLocker для системного раздела.
3. При каждой загрузке вводите ключ BitLocker (или используйте TPM для автоматической разблокировки).
Устранение неполадок
1. Ошибка 0x803100B2:
— Обновите драйвер RST до версии 13.2 или новее.
— Убедитесь, что диск не инициализирован и шифрование отключено.
2. Samsung Magician: Failed to perform the operation:
— Проверьте версию RST.
— Очистите диск через diskpart.
3. BitLocker использует программное шифрование:
— Убедитесь, что выбрано Encrypt entire drive.
— Проверьте режим загрузки (UEFI, не CSM).
4. TPM не работает:
— Проверьте наличие и версию TPM в tpm.msc.
— Убедитесь, что драйвер TPM сертифицирован Microsoft.
Рекомендации
— Создайте резервную копию данных перед очисткой диска.
— Сохраните ключ восстановления BitLocker в надежном месте.
— Обновляйте Samsung Magician и RST для совместимости.
— Проверьте спецификации вашего SSD на поддержку eDrive (например, на сайте производителя).
Аппаратное шифрование BitLocker на SED SSD с поддержкой eDrive повышает производительность, энергоэффективность и безопасность. Настройка требует выполнения строгих условий (UEFI, TPM, обновленный RST) и подготовки диска. Используя Samsung Magician и правильные настройки, вы можете легко включить аппаратное шифрование на совместимых SSD, таких как Samsung SSD 850 Pro, и использовать диск как для данных, так и для загрузки системы.
